2CMV23-00425-01 CSIRT alerta ante nueva campaña de phishing con malware, que suplanta a la PDI
Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT de Gobierno) ha identificado una nueva campaña de phishing con malware suplantando a la Policía de investigaciones (PDI) con una falsa citación policial debido a una supuesta resolución en contra de la víctima. Si la víctima interactúa con el fichero malicioso se encuentra con Mekotio, un troyano bancario dirigido principalmente a naciones de Iberoamérica (con distintas campañas que apuntan a distintos países, como la actual, preparada para Chile), y que destaca por el uso de una base de datos SQL como servidor de Comando y Control. |
Indicadores de Compromiso Asociados
Archivos que se encuentran en la amenaza
SHA256
Indicador | Relación |
462a814f8b26279cfc71dbdf874d7c9c626f61811516d5705da9eb0dd32e441b | 23F000R33V21L94IR7vZp.zip |
969c4d790314beca402ba8cc253ceb9af856c1ed22aae512e245a9538ea86b95 | 23F000R33V21L94IR7vZp.msi |
URL-Dominio
Dominio | Relación |
https://www.elo.net[.]br/wp-content/languages/pdi/dasssashytsrfwewdw4w432dcadssswe32dsfwywyw67wjjehnsbvcdfreyd.php | Descarga del Fichero |
http://servers.itresources[.]am/itr/public/teams/ | Contenedor Malware |
mobilforstarkare@65-108-78-58[.]cprapid.com | Correo de salida |
MITRE ATT&CK
Descripción | ID |
Acceso Inicial (Mediante Phishing) | T1566.002 |
Descubrimiento (Consulta del Registro) | T1012 |
Descubrimiento (Información del Sistema) | T1082 |
Descubrimiento (Equipos Perimetrales) | T1120 |
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 2CMV23-00425-01.